CN201063651Y - 一种联动对抗地址解析协议攻击的系统与路由器 - Google Patents
一种联动对抗地址解析协议攻击的系统与路由器 Download PDFInfo
- Publication number
- CN201063651Y CN201063651Y CNU200720156606XU CN200720156606U CN201063651Y CN 201063651 Y CN201063651 Y CN 201063651Y CN U200720156606X U CNU200720156606X U CN U200720156606XU CN 200720156606 U CN200720156606 U CN 200720156606U CN 201063651 Y CN201063651 Y CN 201063651Y
- Authority
- CN
- China
- Prior art keywords
- address
- mapping relations
- router
- unit
- interlock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型提供一种联动对抗ARP攻击的系统与路由器,该系统包括路由器以及与路由器连接的交换机,交换机包含多个端口,每个端口连接多个主机,路由器至少包括:与多个主机连接的半静态ARP单元,生成第一映射关系,该第一映射关系为交换机端口、与交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;连接半静态ARP单元的路由器联动通信单元,该路由器联动通信单元用于将第一映射关系发送给交换机;交换机至少包括:交换机联动通信单元,该交换机联动通信单元用于接收第一映射关系;三元素绑定单元,根据接收的第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。
Description
技术领域
本实用新型关于网络安全领域,特别关于一种联动对抗ARP(Address Resolution Protocol:地址解析协议)攻击的系统与路由器。
背景技术
ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中,将源IP、源MAC(Media Access Control:媒体接入控制)设为欺骗值或随机值以达到欺骗其它主机的目的,包括只修改源IP、只修改源MAC、同时修改源IP和源MAC等方法,达到阻断其它主机上网或充当其它主机的中间人的目的。
如1图所示,其中PC1为攻击主机,PC2为被冒充主机、PC4为被欺骗主机。路由器的IP地址和MAC地址分别为IP0和MAC0,PC1的IP地址和MAC地址分别为IP1和MAC1,PC2的IP地址和MAC地址分别为IP2和MAC2,PC4的IP地址和MAC地址分别为IP4和MAC4。PC1向PC4发送ARP应答的欺骗报文,该报文的源MAC为MAC1,源IP为IP2。PC4收到该ARP欺骗报文后,将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1,导致PC4和PC2之间通讯不正常,这样PC1可以选择进行中间人攻击或阻断攻击。
针对目前ARP攻击的问题,现有技术中有两种解决方案:配置静态ARP以及在交换机上绑定端口、IP和MAC。上述解决方法中,静态ARP绑定操作很繁琐,需要在网关(路由器)和所有客户端(PC)上进行配置,配置工作量很大,而且不灵活。在交换机上配置绑定端口、IP和MAC是较好的解决办法,但手工配置同样存在配置工作量大、不灵活的缺点,现有技术中,需要手工收集正确的三元素映射关系,因通常交换机和主机的台数都很多,存在收集工作量大的问题,而且如果主机换网卡或换交换机端口后还要再手工配置相应的交换机,使用上很不灵活。
实用新型内容
本实用新型提供了一种联动对抗ARP攻击的系统与路由器,该系统包括路由器,和路由器相连的交换机,交换机下的每一个端口连接多台主机。本实用新型在路由器端生成三元素的映射关系(该三元素是指:交换机端口、与所述交换机口连接的所有主机的IP地址和MAC地址),并通过路由器和交换机的联动通信单元将该映射关系发给所述交换机,从而在交换机每个端口上完成主机IP地址和MAC地址的绑定,有效地防止的了ARP攻击。
本实用新型实施例的目的在于提供了一种联动对抗ARP攻击的系统,所述系统包括路由器以及与所述路由器连接的交换机,所述交换机包含多个端口,每个端口连接多个主机,所述路由器包括:与所述多个主机连接的半静态ARP单元,生成第一映射关系,所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;连接所述半静态ARP单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机;所述交换机至少包括:交换机联动通信单元,所述交换机联动通信单元至少包括第一映射关系接收单元,接收所述第一映射关系;三元素绑定单元,根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。
本实用新型另一实施例的目的在于提供一种路由器,所述路由器至少包括:与多个主机连接的半静态ARP单元,生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系;连接所述半静态ARP单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机。
本实用新型的路由器能够自动生成三元素映射关系,并利用路由器和交换机的联动通讯单元自动地把生成的三元素映射关系通知给交换机,交换机的三元素绑定单元自动进行三元素绑定,解决了手工配置工作量大的问题。并且,路由器的半静态ARP单元会根据ARP报文的变化自动更新三元素绑定映射关系并通告给交换机三元素绑定单元,解决了主机换网卡或换交换机端口后手工配置不灵活的问题。
附图说明
图1为本实用新型实施例完整的网络体系架构;
图2为图1的一种逻辑网络体系架构;
图3为图1的另一种的逻辑网络体系架构;
图4为本实施例系统的原理结构图;
图5为本实施例的三元素映射表;
图6为本实施例系统的细化结构图;
图7为本实施例半静态ARP生成单元的细化结构图;
图8为本实施例路由器ARP处理单元的细化结构图;
图8a为本实施例交换机电路图;
图8b为本实施例路由器电路图;
图9为本实施例详细流程图。
具体实施方式
以下结合附图对本实用新型的具体实施方式进行详细说明如下:
图1-图3为本实施例的网络体系架构,其中图1是本实施例完整的网络体系架构。本实施例中三元素绑定是配置在最接近主机(PC)的设备上,即图1中的二层交换机,图1中的三层交换机只提供透明的数据通路,此时可以用图3的逻辑网络体系架构来表示图1。当图1中的二层交换机不具备三元素绑定功能时,本实施例在图1中的三层交换机上实现三元素绑定,此时可以用图2的逻辑网络体系架构来表示图1。
图4为本实施例联动对抗ARP攻击系统的原理结构图。如图所示,本实施例的系统包括路由器40、交换机41和交换机下连的多个主机42(图4中用一台主机来说明本实施例,实际网络架构参考图1-图3),路由器40分别连接交换机41和主机42。路由器40至少包括半静态ARP单元401和与其相连接的路由器联动通信单元402,交换机41至少包括交换机联动通信单元411和三元素绑定单元412。路由器的半静态ARP单元401和主机42相连,路由器联动通信单元402和交换机联动通信单元411相连。
半静态ARP单元401用于生成第一映射关系,该第一映射关系为交换机41的端口、与交换机41端口连接的主机42的IP地址和主机42的MAC地址这三者的映射关系,图5以交换机包含三个端口、每个端口下连三台主机为例,显示了由第一映射关系组成的三元素映射表的内容,实际映射表的规模取决于网络的容量。路由器联动通信单元402和半静态ARP单元401连接,用于获取图5所示的第一映射关系并将其发送给交换机41。交换机联动通信单元411接收该第一映射关系,并将其传给三元素绑定单元412,三元素绑定单元412根据该第一映射关系在交换机41的相应端口上绑定与该端口相连接的主机的IP地址和MAC地址。
图6为本实施例系统的细化结构图。如图所示,路由器联动通信单元402至少包括联动触发单元601,交换机联动通信单元至少包括联动准备单元611,这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601,用于向联动准备单元611发送联动触发报文,该联动触发报文为包含预设MAC地址的二层报文,该二层报文的具体格式可依实际产品需要设置,只要交换机和路由器之间能够进行协商即可。联动准备单元611,在收到联动准备触发之后,识别该特殊的二层报文,为交换机41生成和路由器40通信的三层接口和缺省的IP,该三层接口可以为SVI(Switch Virtual Interface:交换虚拟接口)。
如图6所示,在一种较佳实施方式中,交换机联动通信单元411还包括第二映射关系发送单元612,路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系是指:交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602;第二映射关系接收单元602,接收该第二映射关系后,将其发给半静态ARP单元401。
如图6所示,半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631,以及和第二映射接收单元602连接的三元素映射单元632。半静态ARP生成单元631通过和主机的ARP报文交互获取正确的主机IP地址和MAC地址的映射关系,该映射关系称为第三映射关系。三元素映射单元632,连接半静态ARP生成单元631和第二映射关系接收单元602,由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系),而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系),三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
如图6所示,路由器联动通信单元402中还包含第一映射关系发送单元,它和三元素映射单元632连接,用于获取第一映射关系,并将其发给交换机联动通信单元的第一映射关系接收单元613,然后第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412,从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
图7为半静态ARP生成单元的细化结构图。如图所示,半静态ARP生成单元631至少包括:连接主机42的路由器ARP数据单元701以及和路由器ARP数据单元701连接的路由器ARP处理单元702。路由器ARP数据单元701在收到源主机的ARP请求广播报文后,回发ARP请求广播报文以获取所述源主机的MAC地址,并接收所述源主机的ARP应答报文。路由器ARP处理单元702判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时,则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。
图8为路由器ARP处理单元702的细化结构图。如图所示,路由器ARP处理单元702至少包括嫌疑主机检测单元801,用于分析路由器ARP数据单元701所接收的ARP报文的特征及源主机的特征,并将满足以下条件的源MAC地址作为嫌疑主机,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:源MAC地址的主机进行了ARP扫描;源MAC地址对应多个IP;ARP报文头的源MAC和报文中源MAC不一致;路由器没有发出ARP请求却收到ARP应答;源主机的网卡处于混杂模式。在一较佳实施方式中,路由器ARP数据单元701还包括免费ARP单元(图中未示),当完成三元素绑定之后,用于向全网的所有网络设备和主机发送第一映射关系中对应主机和路由器的免费ARP。当有三层交换机时,网关指的是三层交换机,当只有二层交换机时,网关为路由器本身。本实施例免费ARP单元发送2种免费ARP报文:路由器自身的免费ARP和已形成三元素绑定主机的免费ARP,目的是让受欺骗的PC得到正确的网关(路由器)MAC和已确认正常PC的MAC。
图8a和图8b分别为本实施例交换机和路由器的电路图。如图8a所示,其中三元素绑定结果存放在MAC模块,交换机联动通信单元以及交换机的其他单元位于CPU中。如图8b所示,其中半静态ARP单元以及路由器联动通信单元位于管理模块,其中半静态ARP表、嫌疑主机列表存储于SDRAM或FLASH中。路由器以太口(图8b中的MAC+PHY模块)口连接交换机的RJ45模块的某个端口,交换机的RJ45模块的其它端口下连接多个主机。通过图8a和图8b的电路连接,能够实现本实用新型采用路由器和交换机联动抗击ARP攻击的目的。
图8a中其他模块分别解释如下:光电复用口PHY:光电复用物理接口;GT端口PHY:电物理接口;SFP:小型可拔插光模块;LED:发光二极管指示灯;2*4RJ45*3个:24个以太网端口。图8b中其他模块分别解释如下:I2C:芯片间串行总线;10/100/1000MAC:10M/100M/1000M自适应媒体接入控制器;10/100MAC:10M/100M自适应媒体接入控制器;千兆PHY:千兆以太网物理接口;百兆PHY:百兆以太网物理接口;1*GE:1个千兆以太网端口;1*FE:1个百兆以太网端口。
图9为本实施例的详细流程图,该流程图的两个支路表示这两个支路的步骤是独立进行的,步骤S914需要用到步骤S903的结果。以下结合图6-图8详细说明本实施例联动抗击ARP攻击的工作原理:
步骤S901,路由器与主机进行ARP报文交互。该交互工作由半静态ARP生成单元631与主机ARP单元621完成。如图7所示,半静态ARP生成单元631至少包括路由器ARP数据单元701和路由器ARP处理单元702,路由器ARP数据单元701在收到源主机的ARP请求广播报文后,回发ARP请求广播报文以获取所述源主机的MAC地址,并接收所述源主机的ARP应答报文。
步骤S902,路由器生成嫌疑主机列表。如图8所示,路由器ARP处理单元中至少包含有嫌疑主机检测单元801,分析所接收的ARP报文的特征及源主机的特征,来确定嫌疑主机,并生成嫌疑主机列表。具体的检测原则详见对图8的描述,此处不再重复。
步骤S903,路由器根据嫌疑主机列表生成第三映射关系。路由器ARP处理单元702判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时,则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。
前三个步骤用于在路由器端生成三元素的映射关系,以下步骤用于路由器和交换机之间联动抗击ARP攻击。
步骤S911,路由器向交换机发送联动触发报文。路由器联动通信单元402至少包括联动触发单元601,交换机联动通信单元至少包括联动准备单元611,这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601向联动准备单元611发送联动触发报文,该联动触发报文为包含预设MAC地址的二层报文,该二层报文的具体格式可依实际产品需要设置,只要交换机和路由器之间能够进行协商即可。
步骤S912,交换机生成三层接口和缺省IP地址。联动准备单元611在收到联动触发报文之后,识别该特殊的二层报文,为交换机41生成和路由器40通信的三层接口和缺省的IP,该三层接口可以为SVI接口。
步骤S913,交换机向路由器发送第二映射关系。交换机联动通信单元411还包括第二映射关系发送单元612,路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系是指:交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602;第二映射关系接收单元602,接收该第二映射关系后,将其发给半静态ARP单元401。
步骤S914,路由器根据第二映射关系和第三映射关系生成第一映射关系。半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631,以及和第二映射接收单元602连接的三元素映射单元632。三元素映射单元632,连接半静态ARP生成单元631和第二映射关系接收单元602,由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系),而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系),三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
步骤S915,路由器将该第一映射关系发给交换机。路由器联动通信单元402中还包含第一映射关系发送单元,用于获取第一映射关系,并将其发给交换机联动通信单元的第一映射关系接收单元613。
步骤S916,交换机根据该第一映射关系在其端口上进行三元素绑定。第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412,从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
步骤S917,绑定成功后,路由器向全网的所有网络设备和主机发送免费ARP报文。包括2种免费ARP报文:路由器自身的免费ARP和已形成三元素绑定主机的免费ARP,目的是让受欺骗的PC得到正确的网关(路由器)MAC和已确认正常PC的MAC。
以下根据图1-3所示的网络结构给出一个详细的路由器和交换机联动抗击ARP攻击的实例。
1.攻击主机PC1为进行攻击开始扫描整个网段,即PC1向本网段所有PC发出ARP请求报文。
2.路由器收到PC1大量的ARP请求报文后将PC1列入嫌疑主机列表。
3.PC1向PC4发送ARP应答的欺骗报文,该报文的源MAC为MAC1,源IP为IP2。
4.PC4收到该ARP欺骗报文后,将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1,导致PC4和PC2之间通讯不正常。
5.路由器收到PC1的ARP请求广播后,路由器回发ARP请求广播报文,PC1向路由器发送ARP应答,路由器的半静态ARP单元判断30秒内IP1只有唯一的ARP应答,在半静态ARP表中生成PC1对应的三元素映射关系(根据IP1、MAC1及半静态ARP表中已有的交换机端口和MAC对应信息)。生成绑定关系后路由器通知交换机进行三元素绑定,并向全网发送IP1的免费ARP广播和网关(三层交换机)的免费ARP广播。
6.路由器收到PC4的ARP请求广播后,路由器回发ARP请求广播报文,一段时间后路由器收到IP4的ARP应答(可能不唯一),路由器的半静态ARP单元判断PC4不在嫌疑主机列表中,在30秒后在半静态ARP表中生成PC4对应的三元素映射关系。生成绑定关系后路由器通知交换机进行三元素绑定,并向全网的所有网络设备和主机发送IP4的免费ARP广播和网关(三层交换机)的免费ARP广播。
7.PC2的三元素绑定工作过程同PC4。
8.经过上述过程,在port1、port2、port4都自动完成了正确的三元素绑定,PC1的ARP攻击报文已被阻断,PC2、PC4的ARP表也由路由器发送的免费ARP修复,PC之间、PC和网关之间的通讯恢复正常。
以上具体实施方式仅用于说明本实用新型,而非用于限定本实用新型。
Claims (12)
1.一种联动对抗地址解析协议攻击的系统,所述系统包括路由器以及与所述路由器连接的交换机,所述交换机包含多个端口,每个端口连接多个主机,其特征在于,
所述路由器至少包括:与所述多个主机连接的半静态地址解析协议单元,生成第一映射关系,所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系;连接所述半静态地址解析协议单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机;
所述交换机至少包括:交换机联动通信单元,所述交换机联动通信单元至少包括第一映射关系接收单元,接收所述第一映射关系;三元素绑定单元,根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和媒体接入控制地址。
2.根据权利要求1所述联动对抗地址解析协议攻击的系统,其特征在于,
所述路由器联动通信单元还包括:联动触发单元,向所述交换机的联动通信单元发送联动触发报文,所述联动触发报文为包含预设媒体接入控制地址的二层报文;
所述交换机联动通信单元还包括:联动准备单元,在收到所述联动触发报文之后,为所述交换机生成和所述路由器通信的三层接口和缺省的IP地址。
3.根据权利要求2所述联动对抗地址解析协议攻击的系统,其特征在于,
所述交换机联动通信单元还包括:第二映射关系发送单元,将所述交换机存储的第二映射关系发给所述路由器联动通信单元,所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系;
所述路由器联动通信单元还包括:第二映射关系接收单元,接收所述第二映射关系,并将所述第二映射关系传给所述半静态地址解析协议单元;
所述半静态地址解析协议单元包括,连接多个主机的半静态地址解析协议生成单元,生成第三映射关系,所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系;三元素映射单元,根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
4.根据权利要求3所述联动对抗地址解析协议攻击的系统,其特征在于,所述半静态地址解析协议生成单元包括:
连接所述主机的路由器地址解析协议数据单元,在收到源主机的地址解析协议请求广播报文后,回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址,并接收所述源主机的地址解析协议应答报文;
连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单元,如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地址解析协议报文的源媒体接入控制地址不是嫌疑主机时,则将所接收的主机的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为第三映射关系。
5.根据权利要求4所述联动对抗地址解析协议攻击的系统,其特征在于,所述路由器地址解析协议处理单元包括:嫌疑主机检测单元,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:
所述源媒体接入控制地址的主机进行了地址解析协议扫描;或
所述源媒体接入控制地址对应多个IP地址;或
所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控制地址不一致;或
所述路由器没有发出地址解析协议请求却收到地址解析协议应答;或
所述源主机的网卡处于混杂模式。
6.根据权利要求4所述联动对抗地址解析协议攻击的系统,其特征在于,所述路由器地址解析协议数据单元还包括:免费地址解析协议单元,向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
7.一种路由器,其特征在于,所述路由器至少包括:
与多个主机连接的半静态地址解析协议单元,生成第一映射关系,所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机媒体接入控制地址这三者的映射关系;
连接所述半静态地址解析协议单元的路由器联动通信单元,所述路由器联动通信单元至少包含第一映射关系发送单元,将所述第一映射关系发送给所述交换机。
8.根据权利要求7所述的路由器,其特征在于,
所述路由器联动通信单元还包括:联动触发单元,向所述交换机发送联动触发报文,所述联动触发报文为包含预设媒体接入控制地址的二层报文。
9.根据权利要求8所述的路由器,其特征在于,
所述路由器联动通信单元还包括:第二映射关系接收单元,接收所述交换机发送的第二映射关系,并将所述第二映射关系传给所述半静态地址解析协议单元,所述第二映射关系为所述交换机端口以及与所述端口连接的主机的媒体接入控制地址的映射关系;
所述半静态地址解析协议单元包括:连接多个主机的半静态地址解析协议生成单元,生成第三映射关系,所述第三映射关系为所述多个主机的IP地址和媒体接入控制地址的正确映射关系;三元素映射单元,根据所述第二映射关系和所述第三映射关系生成所述第一映射关系。
10.根据权利要求9所述的路由器,其特征在于,所述半静态地址解析协议生成单元包括:
连接所述主机的路由器地址解析协议数据单元,在收到源主机的地址解析协议请求广播报文后,回发地址解析协议请求广播报文以获取所述源主机的媒体接入控制地址,并接收所述源主机的地址解析协议应答报文;
连接所述路由器地址解析协议数据单元的路由器地址解析协议处理单元,如果在一预定时间内只收到唯一的所述地址解析协议应答报文或所述地址解析协议报文的源媒体接入控制地址不是嫌疑主机时,则将所接收的主机的地址解析协议应答报文的源IP地址和源媒体接入控制地址的映射关系作为第三映射关系。
11.根据权利要求10所述的路由器,其特征在于,所述路由器地址解析协议处理单元包括:嫌疑主机检测单元,分析所接收的地址解析协议报文的特征及源主机的特征,判断所述源主机是否满足嫌疑主机的特征,并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表,所述嫌疑主机的特征包括:
所述源媒体接入控制地址的主机进行了地址解析协议扫描;或
所述源媒体接入控制地址对应多个IP地址;或
所述地址解析协议报文头的源媒体接入控制地址和报文中源媒体接入控制地址不一致;或
所述路由器没有发出地址解析协议请求却收到地址解析协议应答;或
所述源主机的网卡处于混杂模式。
12.根据权利要求10所述的路由器,其特征在于,所述路由器地址解析协议数据单元还包括:免费地址解析协议单元,向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU200720156606XU CN201063651Y (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的系统与路由器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU200720156606XU CN201063651Y (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的系统与路由器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201063651Y true CN201063651Y (zh) | 2008-05-21 |
Family
ID=39452038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU200720156606XU Expired - Lifetime CN201063651Y (zh) | 2007-07-09 | 2007-07-09 | 一种联动对抗地址解析协议攻击的系统与路由器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201063651Y (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101193116B (zh) * | 2007-07-09 | 2010-07-28 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| CN106101030A (zh) * | 2016-08-30 | 2016-11-09 | 烟台正维科技有限公司 | 交换机端口快速切换的方法及装置 |
-
2007
- 2007-07-09 CN CNU200720156606XU patent/CN201063651Y/zh not_active Expired - Lifetime
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101193116B (zh) * | 2007-07-09 | 2010-07-28 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| CN102546661A (zh) * | 2012-02-21 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
| CN102546661B (zh) * | 2012-02-21 | 2015-08-26 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
| CN106101030A (zh) * | 2016-08-30 | 2016-11-09 | 烟台正维科技有限公司 | 交换机端口快速切换的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101193116B (zh) | 一种联动对抗地址解析协议攻击的方法、系统及路由器 | |
| US8108454B2 (en) | Address assignment in Fibre Channel over Ethernet environments | |
| CN107257291B (zh) | 一种网络设备数据交互方法和系统 | |
| US9973422B2 (en) | Traffic interconnection between virtual devices | |
| EP3113427B1 (en) | Method for sending multicast packet and switch | |
| JP3131137B2 (ja) | バーチャルネットワークシステム | |
| CN1514586B (zh) | 模拟多用户、多连接的数据通讯设备测试方法 | |
| US20140161140A1 (en) | DIRECT MODE ADAPTER BASED SHORTCUT FOR FCoE DATA TRANSFER | |
| US20080186968A1 (en) | Triple-tier anycast addressing | |
| CN102123106B (zh) | 一种虚拟专用局域网服务网络中mac地址学习方法和装置 | |
| US20060256814A1 (en) | Ad hoc computer network | |
| RU2007102692A (ru) | Виртуальная сеть вещания для междоменной связи | |
| CN201063651Y (zh) | 一种联动对抗地址解析协议攻击的系统与路由器 | |
| CN103763407A (zh) | 二层虚拟局域网实现地址解析协议代理方法及局域网系统 | |
| CN101035012B (zh) | 基于dhcp和ip的以太网多层交换机安全防护方法 | |
| US6285674B1 (en) | Hybrid distributed broadcast and unknown server for emulated local area networks | |
| US20180159758A1 (en) | Virtual media access control addresses for hosts | |
| CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
| CN107241313A (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN105635335B (zh) | 社会资源接入方法、装置及系统 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| US20060256770A1 (en) | Interface for configuring ad hoc network packet control | |
| CN104579939A (zh) | 网关的保护方法和装置 | |
| US7650417B2 (en) | Method for setting up a communication between a device and a host application over an IP network | |
| US20200274799A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| AV01 | Patent right actively abandoned |
Granted publication date: 20080521 Effective date of abandoning: 20070709 |